第一部分：核心概念与识别

1. 什么是敏感个人信息？

敏感个人信息是指一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息。这是理解整个标准的基石。

2. 敏感个人信息的识别与界定

2.1 识别的三大核心规则

• 后果导向原则：

  判断信息是否敏感，关键看其泄露或非法使用后是否“容易导致”以下两种严重后果之一：

  • 人格尊严受侵害：

    例如导致个人被“人肉搜索”、电信诈骗、名誉受损或遭受歧视性待遇。

  • 人身财产安全受危害：

    例如行踪轨迹信息泄露可能危及人身安全，金融账户信息泄露可能造成财产损失。

• 数据汇聚原则：

  单项看不敏感的普通个人信息，在经过汇聚、融合后，如果整体上达到了上述风险标准，也应被视为敏感个人信息进行保护。

• 法定原则：

  法律、行政法规直接规定为敏感个人信息的，必须遵从其规定。

2.2 敏感个人信息的主要类别

根据标准附录A，敏感个人信息主要分为以下几类，记忆时可简化为“生、宗、特、医、金、行、未”：

• 生物识别信息：

  个人基因、人脸、声纹、指纹、虹膜等。

• 宗教信仰信息：

  个人信仰的宗教、参加的宗教活动等。

• 特定身份信息：

  残障人士身份、不宜公开的职业身份等。

• 医疗健康信息：

  病史、体检报告、生育信息、医疗就诊记录等。（注意：与疾病无关的体重、身高、血型等基本体质信息不属于敏感个人信息）。

• 金融账户信息：

  银行卡号、支付账号及密码、交易和消费记录、收入明细等。

• 行踪轨迹信息：

  连续的精准定位轨迹、车辆行驶轨迹等。

• 不满十四周岁未成年人的个人信息：

  这是特别保护的一整类信息。

• 其他敏感个人信息：

  精准定位信息、身份证照片、性取向、征信信息、犯罪记录等。

• 与《个人信息保护法》的衔接：

  本标准是对《个人信息保护法》第二十八条关于敏感个人信息定义的具体化和技术化落地，为企业合规提供了可操作的指引。

• 动态性与场景依赖：

  信息是否敏感并非一成不变，需要结合具体的处理场景和目的进行动态评估。例如，为紧急救援收集血型信息，此时的血型信息可能不被视为敏感；但在基因检测报告中，血型则属于医疗健康信息的一部分。

• 实践挑战——数据发现与分类分级：

  企业落地此标准的首要难题是“识别”。必须借助自动化工具（如DLP、数据扫描工具）和精细化的人工流程，建立企业内部的敏感数据资产清单，并进行动态的分类分级打标。没有准确的资产识别，一切保护措施都无的放矢。

• 风险传导：

  汇聚原则提醒我们，安全风险会沿着数据流传导和放大。在进行大数据分析、用户画像时，必须警惕普通信息汇聚后产生“质变”，升级为敏感信息，从而触发更高级别的安全管控要求。

第二部分：通用安全要求

1. 三大基本原则

• 特定目的与充分必要：

  处理敏感个人信息必须有明确、具体的目标，且是实现该目标所不可或缺的。

• 严格保护措施：

  必须采取比处理一般个人信息更严格的保护措施。

• 单独同意：

  基于个人同意处理敏感个人信息的，必须获得个人的“单独同意”。

2. 收集环节：合法与最小必要

• 合法性：

  禁止通过欺诈、胁迫等方式或从非法渠道收集敏感个人信息。

• 最小必要：

  • 能用非敏感信息实现目的的，就不得收集敏感信息。

  • 仅在用户使用相关业务功能期间收集。

  • 按业务功能或服务场景，分项收集，避免一次性打包收集。

3. 告知与同意：核心中的核心

• 强化告知：
  • 方式：

    必须采用显著、独立的方式进行告知，如单独弹窗、短信、独立提示页面等，不能混在冗长的隐私政策中。

  • 内容：

    必须清晰告知处理的必要性、信息种类、存储期限以及对个人权益的重大影响。

• 单独同意：
  • 定义：

    针对每一项敏感个人信息的处理活动，需获得个人单独、专门的授权，不能与其他授权捆绑。

  • 多场景应用：

    同一项敏感信息用于多个目的，每个目的都需要获得一次单独同意。

  • 书面同意：

    在采集人类遗传资源、查询征信信息等法律法规有明确规定的情况下，还需取得个人的书面同意。

• 撤回权：

  必须提供便捷的撤回同意的途径。

4. 安全保护措施：技术与管理的双重保障

管理措施：

• 制度建设：

  建立敏感个人信息目录和专门的管理制度。

• 授权审批：

  对内部共享、对外提供、批量查询、下载等重要操作建立严格的审批流程。

• 人员管理：

  将有权访问敏感信息的人员作为关键岗位进行安全管理和背景审查（尤其是在处理超过10万人的敏感信息时）。

• 影响评估 (PIA)：

  在新应用上线前必须进行个人信息保护影响评估，报告至少保存3年。

• 审计：

  日志记录应保存至少3年，并至少每月对日志和权限进行安全审计。

技术措施：

• 加密存储与传输：

  必须采用符合国家密码管理要求的算法进行加密。

• 访问控制：

  遵循“最少够用”原则，权限应能控制到字段级（结构化数据）或文件级（非结构化数据）。

• 去标识化：

  在内部系统和产品界面显示时，应默认进行脱敏（去标识化）处理。

• 安全存储：

  敏感个人信息应与可识别身份的其他信息分开存储。

• 安全监测：

  建立异常操作（如非工作时间大量查询）的监测预警和响应机制。

• 水印与防泄露：

  敏感信息显示界面应添加访问者信息水印，并默认禁用复制、截屏等功能。

• 零信任架构：

  标准中强调的字段级访问控制、严格审批、持续审计等要求，与“零信任”安全理念高度契合。其核心是“从不信任，始终验证”，对所有访问敏感数据的请求进行严格认证和授权。这意味着需要部署身份认证系统（IAM）、权限管理系统（PAM）和微隔离等技术，确保即使攻击者突破了边界，也无法在内网横向移动并轻易触及核心敏感数据。

• 数据安全能力成熟度模型 (DSMM)：

  标准建议处理敏感个人信息的数据安全能力宜符合GB/T 37988（DSMM）三级及以上要求。这不仅仅是技术采购，而是要求企业建立体系化的数据安全治理能力，包括组织架构、制度流程、技术工具和人员能力的全面建设，形成一个持续改进的闭环管理体系。

• 安全左移：

  个人信息保护影响评估（PIA）是“安全左移”的典型实践。它要求在产品设计和研发阶段就将隐私保护和数据安全需求融入进去（Privacy by Design），而不是等到产品上线后再去“打补丁”，从而极大地降低合规风险和修复成本。

• 技术落地要点：
  • 加密：

    不仅要加密，更要关注密钥管理（KMS）的安全性。密钥的生命周期管理（生成、存储、分发、轮换、销毁）是加密体系的命脉。

  • 日志审计：

    3年的日志保存要求对存储和查询性能是巨大挑战。应采用专业的日志分析平台（如SIEM），对海量日志进行范式化、关联分析，才能真正实现“异常操作监测预警”。

  • 分开存储：

    在技术上可以通过数据库的物理隔离、逻辑库隔离或表隔离实现，其目的是增加攻击者获取完整用户画像的难度，即使单一数据库泄露，也无法直接关联到个人身份。

第三部分：特殊类型敏感信息的特殊要求

除了通用要求外，针对几类高风险信息，标准还提出了额外的特殊要求：

信息类别	特殊安全要求摘要	[补充]
生物识别信息	- 提供替代方案：不能将生物识别作为唯一的身份认证方式。 - 处理摘要信息：原则上只处理和存储特征摘要信息，目的实现后应立即删除原始图像、视频等。 - 书面同意：在科研或非配合方式收集用于身份识别时，需取得书面同意。	风险： 生物特征具有唯一性和不可更改性，一旦泄露，危害是永久性的。存储摘要（特征模板）而非原始图像，是降低风险的关键。同时需防范呈现攻击（如用照片、面具骗过人脸识别）。
宗教信仰信息	- 原则上不处理：除宗教组织内部活动并获同意外，原则上不应处理。 - 禁止画像：不得用于构建用户画像。	风险： 极易引发歧视性对待，是人格尊严保护的重中之重。技术上应在数据处理管道中设置严格的过滤规则，防止该字段被用于推荐算法或用户标签体系。
特定身份信息	- 用后即删：验证身份后应及时删除（法规要求留存的除外）。 - 禁止画像与推荐：不得用于用户画像和个性化推荐。	风险： 与宗教信仰类似，同样存在高歧视风险。对这类数据应采取严格的生命周期管理，设定自动化的删除策略，避免数据被不当留存和滥用。
医疗健康信息	- 分级管理：根据敏感程度进行分类分级保护。 - 严格访问控制：建立更严格的权限审批，如艾滋病信息仅限主治医护人员访问。 - 科研去标识化：用于科研时，应先进行去标识化处理。	风险： 在黑产市场价值极高，是勒索软件和精准诈骗的重点目标。分级管理和严格的访问控制是核心，技术上可参考HIPAA等国际标准，实现基于角色的精细化授权。
金融账户信息	- 禁止存储敏感支付信息：任何客户端或终端均不应存储银行卡磁道数据、CVN码、密码、支付口令等。 - 授权留存：非本机构的鉴别信息，如确需留存，须获得用户和账户管理机构的双重授权。	风险： 直接关系到财产安全。业界最佳实践是遵循PCI DSS标准，使用“支付标记化”技术，用一个无意义的令牌（Token）代替真实的银行卡号进行内部流转，大幅降低核心支付信息泄露的风险。
行踪轨迹信息	- 持续提示：持续收集时，应通过浮窗、状态栏图标等方式持续提示用户。 - 最小频率调用：仅在需要时以最小频率和范围调用。 - 地理位置加工：如果多次收集地理位置信息能形成轨迹，应按照行踪轨迹的保护要求进行管理。	风险： 不仅暴露个人隐私，更可能危及人身安全。从技术上，除了提示，还应在API调用层面限制访问频率，并在数据后台对轨迹数据进行模糊化、加噪处理，以降低数据精度，减少关联风险。
不满14周岁未成年人信息	- 监护人验证：需采取合理措施验证用户年龄，并对监护人身份进行验证。 - 独立的未成年人保护规则：制定并公开专门的未成年人个人信息处理规则。 - 权利保障：提供便捷的查阅、复制、更正、删除通道，并在15个工作日内响应处理。	风险： 涉及社会伦理和企业声誉的最高风险领域。合规要求的核心是“监护人同意”，技术上需要设计可靠的年龄识别和监护人验证机制，并建立独立的未成年人数据保护专区，从物理和逻辑上与其他用户数据进行隔离。

巩固练习选择题

1. 根据GB/T 45574—2025，下列哪项不一定被识别为敏感个人信息？

A. 某用户的连续一周上下班的GPS打点记录
B. 某用户在医院就诊的病历记录
C. 某马拉松赛事为紧急救援目的收集的参赛者血型信息
D. 某用户的人脸识别特征信息

答案与解析：

答案：C

解析：标准明确指出，信息的敏感性需要结合场景判断。A是典型的行踪轨迹信息；B是医疗健康信息；D是生物识别信息，这些都是明确列举的敏感个人信息。而C中，虽然血型可以属于医疗健康信息，但在“为紧急救援”这一特定、必要的目的下收集，且与疾病无关，标准附录A的注解e明确这类基本体质信息可不被认为是敏感个人信息。

2. 某App在更新隐私政策时，增加了一项处理用户“行踪轨迹”用于“个性化广告推荐”的功能。根据标准，以下哪种做法是合规的？

A. 在隐私政策中用加粗字体说明，用户点击“同意”即视为授权
B. App首页弹出一个提示框，包含所有更新内容，用户勾选“我已阅读并同意”即可
C. 针对“行踪轨迹用于个性化推荐”这一项，单独弹出一个窗口，清晰说明目的、影响，并提供“同意”和“拒绝”按钮
D. 默认用户同意，但在设置菜单中提供关闭选项

答案与解析：

答案：C

解析：处理敏感个人信息（行踪轨迹）需要获得用户的“单独同意”。A和B属于“一揽子”同意，不符合单独同意的要求。D属于“默认同意”，更是被禁止的。只有C选项，针对具体事项，使用独立界面，进行了强化告知并让用户主动做出肯定性动作，这才是“单独同意”的正确实践方式。

3. 某公司内部系统需要向产品运营人员展示用户列表，列表中包含用户的手机号和金融账户交易金额。按照标准的安全保护要求，该系统界面应如何默认展示这些信息？

A. 完整显示所有信息，以便运营人员高效工作
B. 默认完整显示手机号，隐藏交易金额
C. 默认对手机号和交易金额都进行去标识化处理，如显示为“138****1234”和“交易金额已隐藏”
D. 需要运营人员输入两次密码才能查看完整信息

答案与解析：

答案：C

解析：标准5.5(l)条明确要求：“敏感个人信息在产品和内部系统显示时，应默认进行去标识化处理”。A是完全违规的。B只对部分信息脱敏，不符合全面保护的要求。D虽然增加了验证，但并未改变“默认”显示状态，不符合默认去标识化的要求。因此，C是最佳实践。

4. 根据标准，处理超过10万人的敏感个人信息时，个人信息处理者需要履行的额外义务不包括以下哪项？

A. 指定个人信息保护负责人和管理机构
B. 对个人信息保护负责人和关键岗位人员进行安全背景审查
C. 将所有敏感个人信息数据在国家监管机构进行备份
D. 因合并、分立等原因可能影响信息安全时，需制定专门的处置方案

答案与解析：

答案：C

解析：标准5.5(y)条规定了处理10万人以上敏感个人信息的特殊要求，包括A、B、D三项。标准并未要求将数据在国家监管机构进行备份，这是对要求的错误解读。

5. 关于处理生物识别信息的特殊安全要求，以下说法错误的是？

A. 应提供除生物识别外的其他身份识别方式作为替代选项
B. 处理目的实现后，应立即删除收集到的原始生物识别信息，如原始照片或视频
C. 为了方便用户，可以将生物识别设置为身份认证的唯一且默认方式
D. 将生物识别信息用于科学研究，需要取得个人的书面同意

答案与解析：

答案：C

解析：标准6.1(a)条明确规定：“应同时提供不基于生物识别信息的其他替代可选身份识别方式，并不应将基于生物识别信息的方式作为默认选项”。因此，C选项“作为唯一且默认方式”是明显错误的。A、B、D三项都是标准中对处理生物识别信息的明确要求。

6. 某社交App希望推出一个功能，允许用户标记自己的宗教信仰并在个人主页公开展示。以下哪项操作符合标准要求？

A. 只要用户填写了宗教信仰信息，就可以默认为其在主页公开
B. 在用户填写时，通过一个独立的勾选框让用户选择是否“在主页公开展示我的宗教信仰”
C. 不允许用户公开展示宗教信仰信息，因为该信息原则上不应被处理
D. 可以在隐私政策中说明宗教信仰信息可能会被公开

答案与解析：

答案：B

解析：宗教信仰是敏感个人信息，对其的公开属于高风险处理活动，必须获得用户的单独同意。A是默认公开，错误。D在隐私政策中说明，不属于单独同意。C过于绝对，标准禁止的是原则上不应处理以及未经同意的提供和公开，但如果用户基于自身意愿主动选择公开，应在获得其明确的单独同意后进行。B通过独立的勾选框让用户主动选择，是实现单独同意的合规方式。

7. 某公司的数据分析师需要分析用户消费习惯，申请了访问用户金融账户信息的权限。根据“最少够用”和“字段级访问控制”原则，以下哪种授权最为恰当？

A. 授予该分析师访问整个金融账户信息数据库的只读权限
B. 仅授予其访问消费记录中的“消费类别”和“消费时间”字段，对“账户余额”、“姓名”等字段不予授权
C. 授予其访问所有字段的权限，但有效期仅为一天
D. 授予其访问所有字段的权限，但要求其签署保密协议

答案与解析：

答案：B

解析：该场景体现了最小必要原则和字段级访问控制。分析师的目的是分析消费习惯，因此只需要“消费类别”和“消费时间”等字段即可，无需访问姓名、账户余额等无关信息。A、C和D的授权范围都过大，不符合最小必要原则。B选项精确地将权限限制在必需的字段上，是最佳实践。

8. 根据标准，对于敏感个人信息处理活动的安全日志，个人信息处理者应至少保存多久？

A. 6个月
B. 1年
C. 2年
D. 3年

答案与解析：

答案：D

解析：标准5.5(h)条明确规定：“应对敏感个人信息处理和操作情况进行记录，日志记录应保存三年”。这是一个需要准确记忆的关键知识点。